国家计算机病毒应急处理中心通过对互联网的监测，于2004年1月27日中午发现异常的病毒的邮件，经分析证实该病毒为“小邮差”病毒的又一变种，并将病毒命名为“小邮差”（Worm_Mydoom.A，Worm_Mimail.R）。
    目前，国内已有一些用户受到感染，国家计算机病毒应急处理中心在这里提醒广大用户，立即升级杀毒软件，并启动“实时监控”功能，做好病毒的防范工作。

    有关该病毒分析报告如下：
  
    
病毒名称：“小邮差”（Worm_Mydoom.A，Worm_Mimail.R）
其它中文命名：“米虫”,“SCO炸弹”（瑞星），“诺维格”（金山）
其它英文命名：W32/Mydoom@MM, Mydoom, Win32.Mydoom.A, W32.Novarg.A@mm
病毒类型：蠕虫
病毒长度：22,528 字节
影响系统：Win 95/98/NT/2000/Me/XP

病毒介绍：
  
    病毒通过电子邮件，KaZaA（点对点传播软件）进行传播。该蠕虫程序中的字符串经过了加密处理。病毒会对www.sco.com站点进行拒绝服务攻击。攻击时间为2004年2月1日及之后，当时间为2004月2月12日时，蠕虫将中止攻击及其功能。病毒会运行其后门组件（HIMGAPI.DLL），该组件将在被感染的系统中打开端口3127以接受来自远程用户的访问。

1、生成病毒文件
    病毒运行后会在系统中生成如下文件:
    %System%\shimgapi.dll
    %System%\taskmon.exe
（其中，%System%在Windows 95/98/Me下为C:\Windows\System，在Windows NT/2000下为C:\Winnt\System32，在Windows XP下为 C:\Windows\System32）

2、修改注册表项
    病毒添加注册表项，使得自身能够在系统启动时自动运行，在
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加 TaskMon = %System%\taskmon.exe

3、通过电子邮件进行传播
    该蠕虫使用SMTP进行传播。
    病毒发送的带毒电子邮件格式如下：
    主题：(下列之一)
    Error
    Status
    Server Report
    Mail Transaction Failed
    Mail Delivery System hello
    hi

    内容：(下列之一)
    The message contains Unicode characters and has been sent as a binary attachment.
    The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
    Mail transaction failed. Partial message is available.
    test

    附件：（随机字符串）.zip
    附件包含了蠕虫的可执行程序，该程序的名称可能为下列之一：
    body
    message
    test
    data
    file
    text
    doc
    readme
    document

    该可执行程序的扩展名为如下之一：
    BAT
    EXE
    PIF
    SCR

清除该病毒的相关操作：

1、终止病毒进程
    在Windows 9x/ME系统，同时按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统中，同时按下CTRL+SHIFT+ESC，选择“任务管理器——〉进程”，选中正在运行的病毒进程，并终止其运行。

2、注册表的恢复
   点击“开始——〉运行”，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的TaskMon = %System%\taskmon.exe

3、删除病毒文件
    点击“开始——〉查找——〉文件和文件夹”，查找文件“shimgapi.dll”和“taskmon.exe”，并将找到的文件删除。

4、运行杀毒软件对系统进行全面的病毒查杀

本周发作：

病毒名称：VBS_Triplesix
病毒类型：脚本语言病毒
发作日期：2月5日
危害程度：主要通过Microsoft Outlook和mIRC传播，带毒附件名称为"666TEST.ZIP"，在5日会在系统文件夹生成"VANHOUTEN.BMP"，并将其作为Windows的墙纸。

病毒名称：Wm_Kompu
病毒类型：宏病毒
发作日期：2月8日
危害程度：病毒发现于爱沙尼亚，发作后会显示一下信息"Mul on paha tuju!"、" Tahan kommi!"，中文意思为"我心情不好！""给我些糖果"。

专家提醒：

1、 计算机一旦遭受病毒感染应首先断开网络（包括互联网和局域网），再进行病毒的检测和清除，避免病毒大范围传播，造成更严重的危害。

2、 尽量不要从软盘和光盘启动计算机，而应优先从硬盘启动，并养成软盘和光盘使用后从驱动器中取出的好习惯。

计算机病毒应急处理中心
计算机病毒防治产品检验中心
网    址：Http://www.antivirus-China.org.cn
电　　话：022-66211488/66211489/66211490 转 8017
传　　真：022-66211487
电子邮件：sos@antivirus-China.org.cn
         security@tj.cnuninet.net